Het Amsterdamse stadsziekenhuis OLVG heeft een reeks maatregelen aangekondigd om de privacy van patiënten beter te beschermen. Een deel van de maatregelen is al eerder getroffen, toen vorig jaar bleek dat werkstudenten heel eenvoudig toegang hadden tot elektronische patiëntgegevens in het EPD van het ziekenhuis. De Volkskrant opende vandaag op de voorpagina met een artikel over de privacy-inbreuk. Begin 2018 was er een andere geruchtmakende zaak op dit punt, toen in het Haagse Haga Ziekenhuis.
De Volkskrant schrijft dat studenten met een bijbaan in het OLVG hebben jarenlang veel te ruime toegang kregen tot de elektronische dossiers van nagenoeg alle patiënten die het ziekenhuis de afgelopen vijftien jaar hebben bezocht. Het ging om alle mogelijke medische informatie, ook over gevoelige zaken zoals de uitslagen van een SOA-test. Het OLVG heeft dit tegenover de krant bevestigd. Het ziekenhuis zou vorig jaar, nadat een werkstudent het probleem meldde, zelf naar de verantwoordelijk toezichthouder Autoriteit Persoonsgegevens (AP) gestapt zijn.
Het ziekenhuis stelt dat het kan zien welke medewerkers welke dossiers hebben bekeken. Hoe vaak studenten misbruik hebben gemaakt van de situatie, kan het OLVG echter niet zeggen. Het onderzoek hiernaar loopt nog. Het is ook nog niet bekend of de toezichthouder een onderzoek begint naar het datalek.
Verkeerd afgestelde software
Verkeerd afgestelde software was er volgens het ziekenhuis de oorzaak van dat werkstudenten op het OLVG alle medische dossiers konden inzien. Het profiel van deze werkstudenten, die snel moesten kunnen schakelen tussen afdelingen, stond onbedoeld zo ingesteld dat zij patiënten van álle specialismen konden opzoeken. 'Deze situatie laat zien dat wij een opgave hebben in het nader onderzoeken en aanscherpen van ons elektronisch patiëntdossier (EPD) en het meer onder de aandacht brengen van privacy', zo stelt het OLVG nu op haar website. Het ziekenhuis kondigt nader onderzoek aan hoe toegang tot systemen verder kan worden aangescherpt. 'De toegang tot medische gegevens en hoe medewerkers hiermee omgaan zal direct worden opgepakt.'
Het OLVG geeft aan dat er niet zorgvuldig genoeg is omgegaan met de melding in de zomer van 2018. De moeder van een werkstudente gaf destijds aan dat haar dochter toegang had tot patiëntgegevens buiten haar werkgebied. 'Haar dochter signaleerde dat andere studenten hier ten onrechte gebruik van maakten. Ondanks toezeggingen en maatregelen van OLVG waardoor de toegang tot patiënteninformatie beperkt zou moeten worden, bleken de gegevens na een paar maanden helaas nog steeds toegankelijk. Wij zijn ons er terdege van bewust dat dit niet kan en betreuren de gang van zaken.'
Privacy bespreken
Volgens de Volkskrant meldden diverse studenten inderdaad dat zij ook na september vorig jaar nog in dossiers terecht konden waar zij geen recht op hadden en dat er bij de aanname– en inwerkprocedure nauwelijks over de gevoeligheid van medische informatie wordt gesproken. Volgens het OLVG krijgt iedere werkstudent een sollicitatiegesprek van een half uur waarin ook privacy wordt besproken. 'In het contract zelf staat een artikel over privacy opgenomen. Het contract wordt doorgelopen met de sollicitant en op elke pagina geparafeerd.'
Uit een interne mail uit februari blijkt dat ‘de specifieke problemen rondom de autorisaties van werkstudenten’ nog altijd spelen, schrijft de Volkskrant. Zij zullen pas opgelost zullen worden als de functieprofielen van de twee locaties van het ziekenhuis zijn ‘geharmoniseerd’.
Eenvoudig toegang tot EPD
Toezichthouder AP bracht in 2013 al een rapport uit waaruit bleek dat nog te veel medewerkers van ziekenhuizen te makkelijk toegang hadden tot te veel dossiers. In 2018 bracht een zaak in het Haga Ziekenhuis aan het licht dat het moeilijk is om hier verandering in te brengen. De AP stelde toen onderzoek in naar of er ongeoorloofd door medewerkers van het ziekenhuis is gekeken in het medisch dossier van reality-ster Samantha de Jong (Barbie). Zij werd in januari in het ziekenhuis opgenomen. Ook het Haga Ziekenhuis voerde daarna een reeks (deels technische) maatregelen door om herhaling te voorkomen.
De Volkskrant laat Theo Hooghiemstra aan het woord (onder meer expert-bestuurder bij Stichting MedMij), die het niet goed vindt dat er nog steeds zoveel problemen zijn met privacy in de zorg. ‘Mensen moeten erop kunnen vertrouwen dat wat zij de dokter vertellen geheim blijft. Als zij niet alles meer durven bespreken, kan dat gevaar opleveren voor hun eigen gezondheid, of, in bijvoorbeeld het geval van infecties of geslachtsziekte, voor de gezondheid van anderen.’
De AP meldde in januari dat van de bijna 21.000 datalekken die in 2018 werden aangemeld, er 29 procent afkomstig waren uit de sectoren zorg en welzijn. Meestal ging het bij datalekken om persoonsgegevens die aan een verkeerde ontvanger werden gestuurd (63%) of kwijtgeraakte persoonsgegevens door een verloren USB-stick of andere gegevensdrager, maar ook door phishing en malware. Met name in de zorg zou dit laatste voorkomen.
Privacy-maatregelen OLVG
Privacy-maatregelen die het OLVG zegt te gaan nemen of die het al heeft genomen (lees hier over de maatregelen die het Haga Ziekenhuis vorig jaar trof):
- De autorisatie van werkstudenten wordt verder aangescherpt;
- OLVG gaat structureel (i.p.v. steekproefsgewijs) checken of medewerkers zich houden aan onze gedragscode. Als blijkt dat men zich hier niet aan houdt, worden passende arbeidsrechtelijke maatregelen genomen;
- Privacy krijgt een nog nadrukkelijker plek in het inwerkprogramma voor werkstudenten en andere medewerkers binnen OLVG;
- Huidige werkstudenten worden door hun leidinggevende extra op het hart gedrukt zorgvuldig om te gaan met vertrouwelijke informatie;
- Bij datalekken doen wij direct een melding bij de Autoriteit Persoonsgegevens. Dat hebben wij na de melding van de werkstudente en haar moeder afgelopen zomer ook direct gedaan.